BAYC:“无奈”的中本聪与梅克尔树的“多余”

导读

数字货币本质上是一串特殊的字符串，可以无限复制。如果一名矿工短暂控制了超过50%的算力，向交易所发起转账，同时把同一笔数字货币转账给自己。因为手头有足够的算力，所以两笔交易都被写进区块，成为合法交易，这就是“双花攻击”。

比特币网络自诞生以来并稳健运行至今，已证明：在没有结算中心的对等网络，点对点交易也能拒绝双花攻击。所有的比特币交易记录都被保存在区块链上，2008年在中本聪描述比特币原型的论文里提到，他使用了一种名为梅克尔树(Merkle Tree，缩写MT)的数据结构对每一个区块里的所有交易做一次简略记录，梅克尔树能够用较少的字节去表达极大量的信息。

梅克尔树的结构是个满二叉树，因此要求交易数量必须是2n。中本聪通过引入“无效却必要的”多余信息来解决这个问题，所付出代价是此多余信息可能会被攻击者利用，实施双花攻击。

本文先介绍梅克尔树的基本结构，生成节点的规则，然后用一个例子来说明如何为比特币交易构造梅克尔树，最后解释了比特币如何通过UTXO的唯一编号来避免因梅克尔树可能引起的双花威胁。

部分用户称Ledger兑换服务商Changelly和Wyre“无故”冻结用户资金:12月19日消息，NextDAO核心贡献者0xSea.eth表示，硬件钱包Ledger的兑换服务商Changelly和Wyre涉嫌“无故”冻结用户资金。几周前，有用户反馈在Wyre平台兑换的资金无故丢失。其朋友K使用Changelly时也经历类似事情，金额高达300万美元，目前仍未得到解决。

Changelly表示收到并在审核中，并没有继续推进解决该事件，反而在相同问题上一直纠缠。11月11日至今，300万U就这样被无理由扣压一个多月。目前K已准备在香港报警。

据悉，根据Ledger网站，其兑换服务合作伙伴包括Changelly、Wyre、ParaSwap和1inch。[2022/12/19 21:54:42]

知识点1：

哈希函数是由数学家或者密码学家精心设计的一种数学运算规则，它可以输入任意长度的数据，而输出结果(即哈希值)的长度保持不变，并且满足：

1）单向运算：只能计算输入得到输出，不能逆向计算输出得到输入；

Nansen：目前有184个“无聊猿”BAYC 持有者同时持有“哥布林” GoblintTown.wtf:金色财经报道，据 Nansen 官方社交媒体账号披露数据显示，目前有184个“无聊猿”BAYC 持有者同时持有“哥布林” GoblintTown.wtf，占比约为 2.94%。Nansen 指出，“无聊猿”BAYC和“哥布林” GoblintTown.wtf 的一大区别在于，前者是在加密牛市期间为无聊的“行业老炮儿”们创建的，而后者则是在加密熊市期间通过免费公售的形式在以太链上发售。[2022/6/3 4:00:25]

2）冲突避免：无法找到两个不一样的输入，而它们的哈希值却相同。

哈希函数可以说是区块链最最核心的技术之一，另外一个是非对称加密。正是这二个性质确保了比特币像黄金一样难以获得，经过大量的运算才能得到某个正确的哈希值，使得该哈希值比其它字符串更加珍贵，从而获得价值属性。这是哈希函数在比特币挖矿中的应用，但这并不是本文的重点。

知识点2：

梅克尔树又被称作哈希树，因为在这种树状数据结构中，每个节点的标签(或称作值)都是一串哈希值。按照从左向右的顺序，将所有子节点的哈希串联成一个新的长字符串，结果作为哈希函数的输入，经计算得到父节点的标签。

新加坡高等法院冻结“无聊猿”BAYC#2162出售和转让:金色财经报道，新加坡高等法院已代表一名当地投资者发出专有禁令，旨在冻结“无聊猿”BAYC #2162 NFT出售和所有权转让，该禁令已在 5 月 13 日发出，预计将在相关案件审理后生效。根据流出的庭审名录显示，被告化名可能 chefpierre.eth，原告可能名为 Janesh Rajkumar，原告表示自己只是将BAYC #2162抵押给原告来获得贷款，但自己才是该 NFT 的合法所有者。根据代表 Janesh Rajkumar 的律师事务所 Withers KhattarWong 在 5 月 18 日新闻稿中称，新加坡高等法院发出的这份禁令表示已承认 NFT 是一种资产。（businesstimes）[2022/5/18 3:26:02]

哈希树的概念得名于 Ralph Merkle，他在1979年9月5号提交文件申请注册了该项专利。当然，等到中本聪使用梅克尔树作为比特币的底层数据结构时，此专利保护期已经结束了。不然的话，中本聪得向梅克尔先生支付专利授权费，这样做也许他的身份就被曝光，而整个区块链行业都需要缴纳一笔不菲的费用。

“无聊猿”BAYC市值和NFT均价同时超越CryptoPunks:金色财经报道，12月29日，据加密行业分析公司Nansen官方推特披露数据显示，“无聊猿”BAYC市值和NFT均价同时超越CryptoPunks。据相关数据显示，“无聊猿”Bored Ape Yacht Club当前市值为843,613 ETH（约合32.2亿美元），平均价格为84 ETH；CryptoPunks市值为670,236 ETH（约合25.5亿美元），平均价格为67 ETH。[2021/12/29 8:12:21]

另外多说一句，比特币并没有凭空创造任何新型技术，而是巧妙地使用了若干个已有的密码学工具，组合之后便是区块链这种从未见过的系统。这种创新需要极强的系统性思维，往往独自一人很难拥有这般思考的深度和广度，也就有人推测中本聪其人背后其实并不是某一个人，有可能是一群密码学专家。

梅克尔树的基本结构

言归正传，梅克尔树是一棵满二叉树，其结构如图所示。

青岛市率先试点推行运用区块链技术的“无感审批”:8月13日，青岛市行政审批服务局印发《深化流程再造创新服务模式推行“无感审批”实施方案（试行）》，在全国率先试点推行“无感审批”。“无感审批”作为一种全新的智慧政务服务模式，是在政务信息数据共享互认互用的基础上，运用大数据、人工智能、区块链等技术，构建政务服务智能立体感知体系，实现对企业群众办事需求的精准预判、即时感知、定向推送和智能处置，免费快递审批证件批文。（新浪）[2020/8/19]

每个叶子节点的标签都是其所记录内容的哈希值，而将两个兄弟节点的标签串联起来，作为哈希函数的输入，经过计算得到父节点的哈希，如此重复直到最后只剩下一个节点，即根节点，又称作梅克尔树根。

中本聪设计了一种区块结构，其区块头的某个字段就是梅克尔树根。梅克尔树根源自区块里记录的每一笔交易，交易可以理解成转账，例如类似「A转给B某某数额的比特币」的格式。将有着固定格式的一笔转账记录做序列化之后，就能作为输入tx，交由哈希函数运算，得到的结果就是叶子节点的标签 L。

L = Hash(tx)

而每二个叶子节点的哈希，便可以串联起来作为输入，得到父节点的哈希P。

P = Hash(L0+L1) ?// '+' means concatenation

区块可以记录的交易内容长度有限，在中本聪的设计里，严格限制了一个区块内所有交易的总长不超过1MB。而交易的长度又随交易的复杂度而变化，可以简单理解成越复杂的交易，其内容越长。为了有效利用区块，挣更多的手续费，矿工们总是希望尽可能往区块里面记录更多的交易。

观察梅克尔树的结构，可以发现其总是一棵满二叉树，这意味着叶子节点的数量总为2n 。当待记录的交易数量不足 2n，又或者等于2n?时所有交易的总长度超过1MB限制，此时区块能够记录的交易数量不能恰好等于一棵满二叉树的叶子数量。这种情况出现时，该怎么计算梅克尔树根呢？

中本聪如何为比特币交易构造梅克尔树？

以一个简单的例子来说明这个问题。

假设某区块里面记录了一共5笔交易，那么其初始叶子节点仅有5个。每2个叶子节点生成1个父节点，在产生父节点的过程中，却遇到了最后1个叶子节点没有兄弟节点的情况，这时候需要构造出来另外一个节点与其匹配。中本聪的做法是：直接重复该节点本身作为其兄弟节点，然后再按照前述方法得到父节点。这个重复的节点，就是原始交易记录里没有但是梅克尔树上却存在的多余信息。

此时，在梅克尔树结构里面出现了3个父节点，然后再依据这3个节点继续往上构造父节点。同样的问题又出现了，这一层仅有3个节点，最后1个节点必须重复自身以满足兄弟节点成对出现的要求，这样又出现了新的多余信息。最后，再高一层又出现了2个父节点，继续合并，得到最后唯一的节点，即根节点。

在交易数量为5的情况下，由此构造出来的梅克尔树的结构如下图所示。

比特币如何避免

因梅克尔树可能引起的双花威胁？

中本聪的这种做法也许会让读者产生疑惑：既然最后一个叶子节点会被重复，从其父节点的角度看，它有两个具有相同哈希的叶子节点。根据哈希函数的冲突避免性质可以判断，此二个叶子节点所代表的内容完全相同。也就意味着，假设区块里面还能再添加一笔完全相同的交易记录，计算得到的梅克尔树根的值保持不变。这种做法岂不是会导致双花攻击的问题？

比特币网络是如何避免不诚实节点故意在同一区块内记录完全相同的二笔交易？这个疑惑需要借助比特币交易的基本单位UTXO来解释。

在比特币网络里面，并没有「账户」这种东西，也就没有所谓「余额」等衍生概念，因此无法像传统银行系统一样，通过检查账户余额来判断用户有没有可继续花费的资产。所有的比特币都是以UTXO (Unspend Transaction Output)的形式存在，交易消耗已经存在的UTXO(称作输入，Input)，产生新的UTXO (称作输出，Output)，被消耗的UTXO便不再有效。

每一个UTXO都拥有一个锁定脚本 (ScriptPubKey)，用来保护该UTXO不会被除了其拥有者以外的其它人使用，目前还没有人可以解锁不属于自己的UTXO。UTXO能被花费的前提条件是，其锁定脚本被正确地解锁。通常某UTXO的锁定脚本会指定其拥有者的公钥信息，当该UTXO被花费的时候，只有出示与该公钥匹配的私钥所生成的数字签名，即解锁脚本(ScriptSig)，才能成功解锁UTXO。

在比特币的设计中，使用交易ID和UTXO在该交易的输出序号来作为UTXO的唯一标识，所有可用的UTXO都保存在一个名为UTXO set的数据集合里面。

这意味着，可以实现：将每一个还未被花费的UTXO都存储在数据库里并向全网公开，将已经被消耗的UTXO销毁并从数据库中删去。那么当攻击者故意构造第二笔交易并试图再一次花费相同的UTXO时，会发现无法在数据库中找到拥有相同ID的那个UTXO。这就相当于，某人花掉了手中真实存在的物理货币以后，便没法再使用一遍。

因为每个UTXO都拥有独一无二的标示，所以在一个区块内，节点很容易判断每笔交易所消耗的UTXO是否相同：如果存在两笔交易的输入为具有相同ID的UTXO，即能判断第二笔交易无效，此区块无法被诚实节点验证通过。

因此，虽然梅克尔树在交易数量不等于2n的情况下，理论上会出现重复哈希值的问题，但实际中在真实区块里面无法再伪造具有相同内容的交易，双花问题得到避免。

注：以上图片来自于Onchain

参考资料：

?比特币原始论文?Bitcoin: A Peer-to-Peer Electronic Cash System

?梅克尔树原始专利文件

本文由 Poly Enterprise 团队出品

标签：比特币BAY无聊猿BAYC买卖比特币会坐牢吗HBAY币无聊猿为什么值钱BAYC价格

Gateio热门资讯